8 juillet 2026 Piratages .

Claude Mythos : quand l’IA transforme les vulnérabilités en problème de tri

Le créateur de curl, l’un des projets open source les plus déployés au monde, a mis fin au bug bounty du projet. Non pas parce que les failles avaient disparu. Non pas parce que la sécurité devenait secondaire. Mais parce que le programme recevait trop de rapports de mauvaise qualité, souvent générés avec l’aide de l’IA.

Le chiffre dit tout : moins de 5 % des signalements reçus en 2025 étaient valides, contre environ 15 % auparavant. Pour une petite équipe de mainteneurs, le problème n’était plus seulement technique. Il devenait organisationnel.

Chaque rapport devait être lu. Chaque hypothèse devait être vérifiée. Chaque fausse piste consommait du temps que personne ne récupérait.

Quelques mois plus tard, un autre événement a donné une nouvelle dimension au sujet. Anthropic a présenté Claude Mythos Preview, puis Claude Mythos 5, une famille de modèles orientée vers les capacités cyber avancées. Cette fois, le problème n’était plus seulement le bruit. Selon Anthropic et les évaluations publiées par l’AI Security Institute britannique, Mythos montre aussi une capacité croissante à découvrir et enchaîner de vraies vulnérabilités.

Pour les RSSI, c’est le scénario le plus difficile : plus de bruit à filtrer, mais aussi plus de signal réel à traiter.

À retenir

  • curl a arrêté son bug bounty après une chute du taux de rapports valides sous les 5 %.

  • Claude Mythos Preview a été évalué par l’AI Security Institute britannique sur des tâches cyber avancées.

  • Le modèle atteint 73 % de réussite sur un ensemble de tâches CTF de niveau expert.

  • Il termine aussi une simulation d’attaque réseau en 32 étapes lors de 3 essais sur 10.

  • Sur un échantillon Patrowl de 23 000 findings, 93 % ont été jugés faux positifs ou non exploitables dans leur contexte.

  • Le sujet central n’est plus la détection. C’est la capacité à qualifier, prioriser et corriger.

Le vrai coût n’est pas la détection, c’est la vérification

L’IA a fait chuter le coût de production d’un rapport de sécurité. Un agent peut lire du code, formuler une hypothèse, rédiger un signalement et recommencer. À grande échelle.

Mais le coût de vérification n’a pas suivi la même courbe.

Pour savoir si une alerte mérite une action, il faut encore comprendre l’environnement, reproduire le comportement, mesurer l’impact et décider si la correction est prioritaire. Ce travail reste rare, humain, contextualisé.

C’est exactement ce qui a saturé curl. Et c’est ce que beaucoup d’équipes sécurité vivent déjà avec leurs scanners.

Patrowl a observé ce phénomène sur un export de 23 000 findings provenant d’un scanner du marché. Après analyse, 93 % ont été classés comme faux positifs ou résultats non exploitables dans leur contexte réel.

Ce chiffre ne doit pas être généralisé à tout le marché. Il décrit un échantillon précis. Mais il illustre une réalité que beaucoup de RSSI connaissent : l’alerte brute n’est pas encore un risque prioritaire.

93 %

Part des alertes jugées fausses ou non exploitables lors d’une analyse Patrowl portant sur 23 000 findings issus d’un scanner du marché.

Le danger n’est pas seulement de perdre du temps. C’est de laisser une vraie vulnérabilité critique attendre au milieu d’un flux qui a perdu sa crédibilité.

Claude Mythos change la nature du problème

Le cas curl raconte l’explosion du bruit. Claude Mythos raconte l’autre moitié de l’histoire.

En avril 2026, Anthropic a présenté Claude Mythos Preview dans le cadre de Project Glasswing. L’objectif annoncé : donner à des partenaires sélectionnés un accès encadré à des capacités cyber avancées, pour aider à identifier et corriger des vulnérabilités dans des logiciels critiques.

Anthropic affirme que Mythos Preview a trouvé des vulnérabilités anciennes et complexes dans des projets majeurs, dont OpenBSD et FFmpeg. Ces résultats doivent rester attribués à Anthropic.

Mais l’élément le plus solide vient d’un tiers indépendant : l’AI Security Institute britannique.

L’Institut a évalué Claude Mythos Preview dans des environnements contrôlés. Sur des tâches Capture the Flag de niveau expert, qu’aucun modèle testé par l’AISI ne parvenait à résoudre avant avril 2025, Mythos Preview atteint 73 % de réussite.

Ce chiffre ne signifie pas que Mythos peut compromettre 73 % des entreprises. Il concerne un ensemble précis de tests. Mais il marque un saut net.

L’AISI a aussi testé le modèle sur “The Last Ones”, une simulation d’attaque réseau en 32 étapes. Le scénario va de la reconnaissance initiale jusqu’à la prise de contrôle complète du réseau. L’Institut estime qu’un expert humain aurait besoin d’environ 20 heures pour le terminer.

Mythos Preview est devenu le premier modèle évalué par l’AISI à réussir ce scénario de bout en bout. Il y parvient lors de 3 essais sur 10, avec 22 étapes complétées en moyenne sur 32.

La nuance est importante : un cyber-range n’est pas une entreprise réelle. Un test contrôlé n’est pas un SI de production. Mais pour un RSSI, le signal est suffisant pour changer la discussion.

L’IA ne sert plus seulement à générer des tickets médiocres. Elle commence aussi à déplacer la frontière de la recherche offensive.

Le patching va devenir un problème de priorisation

Lorsqu’une vulnérabilité touche un système d’exploitation, un navigateur ou une bibliothèque open source, la publication du correctif n’est que le début.

L’entreprise doit encore répondre à plusieurs questions : quelles versions utilisons-nous ? Quels actifs sont exposés ? Le service est-il accessible depuis Internet ? Le correctif casse-t-il une dépendance ? Quel risque acceptons-nous si nous attendons ?

Si des modèles comme Claude Mythos accélèrent la découverte de vulnérabilités, le nombre de correctifs à qualifier peut augmenter lui aussi.

Le problème ne concernera pas seulement les composants tiers. Ces capacités pourront aussi être appliquées aux applications internes, aux API, aux environnements métiers. Là, aucun éditeur ne prépare le patch à votre place.

Claude Mythos 5 prolonge cette dynamique. Anthropic le présente comme l’évolution de Mythos Preview, avec un accès limité à des partenaires sélectionnés. Claude Fable 5 appartient à la même génération mais vise un usage plus large, tandis que Claude Opus reste associé aux tâches généralistes complexes.

La distinction n’est pas qu’un détail de gamme. Elle montre que les capacités cyber les plus sensibles ne sont pas déployées comme un assistant généraliste. Elles sont traitées comme une capacité à contrôler.

Pour les équipes sécurité, la bonne question devient moins : “Avons-nous appliqué tous les patchs ?”

Elle devient : “Sommes-nous exposés, où, et qu’est-ce qui doit passer en premier ?”

Le marché cyber doit sortir de la course au volume

Pendant des années, beaucoup d’outils se sont vendus sur une promesse simple : détecter plus.

Plus de CVE. Plus de scans. Plus de couverture. Plus de tickets.

Mais à mesure que l’IA augmente le volume, cette promesse perd de sa valeur. Un outil qui détecte tout mais noie les équipes ne réduit pas forcément le risque. Il peut même le déplacer : de l’infrastructure vers la capacité de décision.

Trois éléments deviennent déterminants.

Le contexte. Une vulnérabilité n’a pas la même priorité si l’actif est exposé à Internet, protégé par des contrôles efficaces ou isolé dans un environnement interne.

La preuve. Un score CVSS ou une signature ne suffit pas toujours. Les équipes ont besoin de savoir si l’impact est réel dans leur environnement.

La décision. Une alerte utile doit aider à arbitrer : corriger maintenant, surveiller, accepter temporairement ou escalader.

C’est là que les approches classiques atteignent leurs limites. Le scanner brut produit un signal. Il ne produit pas toujours une décision exploitable.

L’approche Patrowl : réduire le bruit avant la remédiation

Patrowl part d’une conviction simple : les équipes de remédiation ne devraient pas refaire en aval tout le travail de qualification.

La plateforme maintient une cartographie continue de la surface d’attaque externe, détecte les nouvelles expositions et concentre la validation technique sur les risques prioritaires.

Un scanner classique peut produire de nombreux résultats à partir de versions logicielles, de signatures ou de scores théoriques. Patrowl ajoute le contexte d’exposition : l’actif est-il visible depuis Internet ? Le service est-il réellement accessible ? Le risque est-il critique ? Existe-t-il une preuve technique ?

L’objectif n’est pas d’ajouter des milliers de lignes dans un outil de ticketing. Il est de fournir des risques qualifiés, avec les éléments nécessaires pour décider.

Dans un monde où Claude Mythos accélère la découverte de vulnérabilités et où curl illustre la saturation des canaux de signalement, ce filtrage devient stratégique.

Moins de bruit pour les équipes. Plus de capacité pour traiter les expositions qui comptent vraiment.

Le prochain problème cyber ne sera pas le manque d’alertes

Les alertes ne manquent déjà pas. Elles vont encore augmenter.

Certaines seront mauvaises. D’autres seront vraies. Le plus difficile sera de les distinguer assez vite.

Le cas curl montre ce qui arrive quand produire un rapport devient presque gratuit. L’évaluation de Claude Mythos par l’AI Security Institute montre que les modèles avancés progressent aussi sur des tâches cyber réellement complexes.

Ces deux courbes vont se croiser.

Davantage de bruit. Davantage de vulnérabilités réelles. Davantage de patchs. Des équipes qui, elles, ne grandiront pas au même rythme.

Les organisations matures ne chercheront donc plus seulement l’outil qui détecte le plus. Elles chercheront celui qui les aide à savoir quoi traiter, sur quel actif, avec quelle urgence et sur quelle preuve.

Le futur de la cybersécurité ne manque pas de signaux.

Il manque de tri.

Vous voulez identifier vos expositions réellement prioritaires ? Découvrez comment Patrowl combine cartographie externe continue, détection et validation technique pour concentrer la remédiation sur les risques qui comptent.

FAQ

Qu’est-ce que Claude Mythos ?

Claude Mythos est une famille de modèles d’Anthropic orientée vers des capacités cyber avancées. Claude Mythos Preview a été présenté en avril 2026, avant Claude Mythos 5.

Quelle performance Claude Mythos atteint-il en cybersécurité ?

L’AI Security Institute britannique indique que Claude Mythos Preview atteint 73 % de réussite sur un ensemble de tâches CTF de niveau expert. Le modèle termine aussi une simulation d’attaque réseau en 32 étapes lors de 3 essais sur 10.

Quelle différence entre Claude Mythos, Claude Opus et Claude Fable ?

Claude Mythos vise des capacités cyber avancées avec un accès contrôlé. Claude Fable 5 cible des travaux longs et complexes avec une disponibilité plus large. Claude Opus reste un modèle généraliste avancé pour des tâches complexes.

L’IA produit-elle seulement plus de faux positifs ?

Non. L’IA augmente le volume de rapports faibles, mais les modèles avancés peuvent aussi découvrir de vraies vulnérabilités. Les équipes doivent donc filtrer le bruit tout en traitant davantage de signal réel.

Comment réduire le bruit des alertes de sécurité ?

Il faut éviter de transmettre chaque finding brut aux équipes de remédiation. Une approche plus robuste combine découverte continue, contexte d’exposition, validation technique et priorisation.

Sources

  • curl — historique officiel des changements du projet.

  • Anthropic — Project Glasswing et accès encadré à Claude Mythos Preview.

  • UK AI Security Institute — évaluation des capacités cyber de Claude Mythos Preview.

  • Anthropic — Claude Fable 5 et Claude Mythos 5.

  • Patrowl — données internes issues de l’analyse d’un échantillon de 23 000 findings provenant d’un scanner du marché.